一、木马克星遇克星
原来哥们在浏览XX网页时碰到一个网站弹出窗口,显示“在你的电脑里检测到16处错误,如果想修复请点继续”。于是他就点了继续,一步一步被引导着下载安装了一个叫做Errorguard的软件……
居然中了这么低等级的招数,这哥们的智商被我严重鄙视!无奈,拿出了常用的木马查杀软件“木马克星”,开始对他的系统扫描查杀。谁知木马克星是查出了5个木马,可是只能查不能杀,看来木马克星今天也遇到克星了(如图1)。
图1
二、“免费”的Ewido
哥们的电脑上安装了诺顿和AVG,用来查杀一下,居然也不能清除木马!无计可施的情况下,上网搜索下载了一个号称全球第一的木马查杀软件Ewido Security Suite Plus V4.0绿色免安装版。
小提示最新的Ewido Security Suite Plus V4.0是英文界面的,网上有V3.5版的汉化版本,不过V4.0版的功能更为强大得多,因此这里使用最新版。
下载后直接解压,然后执行文件夹中的“ewido.exe”文件运行程序,在界面中立刻显示出红色的提示,要求立即更新病毒库。点击红色的“Update now”链接(如图2),开始升级。
图2
三、注册激活实时监控
升级有点慢,先熟悉一下软件界面吧!在界面顶部是一排功能按钮,点击“Status”可以切换回刚才主界面。在主界面下方有一个“Enter license code”按钮,是用来注册的。未注册版本是不能开启实时监控功能的,为了保证哥们的电脑在查杀过程中不再出现什么意外,点击了“Resident shield”后面的“Change state”按钮,将当前状态改为“active”监控激活状态。
四、升级分两步
点击界面上方的激活按钮切换回“Update”页面,发现病毒库下载完毕了,但是要完成升级的话还需要手工安装病毒库。此时显示“Ready for update”,点击界面中的“Start update”按钮,即可开始进行升级(如图3)。在下方的“Automatic Update”(自动升级)项中,勾选“Download and install updates automatically……”(下载并自动进行病毒库安装升级);在“updates interval”(升级间隔时间)中可设置每隔多少时间进行自动升级。设置完毕后,以后就会自动在后台进行病毒库更新与安装了。
图3
小提示升级完成后,还要再进行一次注册,否则刚才注册会失效。
五、强劲查毒,揪出黑手
现在病毒库是最新的了,开始启动Ewido查杀系统中的木马。
1.全面扫描
点击“Scanner”按钮,切换到扫描页面。在这里提供了多种扫描方式,包括“Complete System Scan”(全面系统扫描)、“Fast System Scan”(快速系统扫描)、“Registry Scan”(注册表扫描)、“Memory Scan”(内存扫描)和“Custom Scan”(定制扫描)等(如图4)。因为系统中现在已经中了木马,所以必须进行一次彻底清除工作,点击“Complete System Scan”按钮,展开扫描选项卡开始进行病毒扫描。
图4
2.扫描设置
由于是全面扫描,因此需要的时间会很长,在扫描的同时切换到“Settings”(扫描设置)选项卡,查看扫描设置(如图5)。在“How to act?”(如何处理病毒文件)中,可以设置检测到木马后默认的处理动作。点击“Recommend actions”(默认操作),在弹出菜单中选择“Quarantine”(隔离)命令,将在检测到木马后自动对其进行隔离操作。
图5
仔细看了一下“How to Scan”中的设置项,惊喜的发现了Ewido功能的强大之处,不仅可以扫描捆绑文件、未知病毒、加壳的木马等,还可以检测出NTFS数据流木马!这些功能一会儿测试吧!在“Possibly unwanted software”(不需要的附加软件)项中,使用默认的设置选项,可以全面的查杀流氓广告、有危险的Cookies信息和一些可疑的拨号连接。在“What to Scan”中,可设置扫描的文件类型。为了保险起见,直接就选择了“Scan every file”(扫描所有文件);如果想加快扫描速度,只扫描某几个文件类型的话,可勾选“Choose files by extension”(通过后缀名指定要扫描的文件),并添加文件类型。
小提示:在这里笔者又发现了一个小惊喜,文件类型中有asp/cgi/php,也就是说可以扫描网页木马文件!
3.木马大清除
返回扫描界面,发现竟然扫描出了20多个木马,这其中当然有刚才木马克星无能为力的,也有木马克星检测不出来的木马!毫不犹豫的在“Action”中将处理操作改成“Delete”(如图6),直接将木马删除掉,然后点击“apply all acions”(执行所有操作)按钮,很快检测出来的木马都被删除掉了。不过又弹出一个提示窗口,显示其中一个木马文件无法删除,这下我有些纳闷了,难道这些木马采用了特殊保护技术,DLL注入?还是进程守护?
图6
4.揪出木马进程
怎么办呢?仔细查看了一下软件界面,看到上面有一个功能按钮“Analysis”(分析),点击后切换到木马分析页面,看到这里有许多木马分析小工具。先看看端口吧,选择“Connections”选项卡,在这里查看到所有网络连接开放端口。
小提示:在“Analysis”页面中,“Processes”项可以查看和结束木马进程;“Autostart”可管理系统自启动项目;“Browser Plugins”项可管理删除加载到IE浏览器中的流氓插件。
连接太多了,于是关闭了QQ、IE所有网络连接,终于发现了可疑的连接——“explorer.exe”本来是资源管理器的进程,竟然对外连接了一个远程主机地址(如图7)!
图7
小提示要快速的找到木马连接,可勾选下方的“Hide local connections”(隐藏本地连接),只显示对外的远程连接。
确定木马是采用DLL注入的方式,通过资源管理器进行启动和保护的了。于是选择该进程,先点击“Terminate connections”(关闭连接),断开与远程主机的连接,再点击“Terminate Applications”(终止进程),将木马插入的进程结束掉。再返回刚才的木马扫描页,就可以成功删除刚才无法操作的木马文件了!
另外,值得一提的是笔者还用Ewido扫描出了自己网站服务器上其他人上传的ASP木马后门(如图8)。大家有兴趣的话,还可以看看“Tools”功能页中,也能发现更多的惊喜哦!
图8